重庆市卫生健康委员会

关于市政协五届五次会议第0180号提案办理情况的答复函

日期： 2022-09-28

【字体：大中小】

渝卫函〔2022〕202号

农工党重庆市委：

您委提出的《关于健全重庆智慧医疗信息安全政策法规的建议》（第0180号）收悉，感谢对我市智慧医疗信息安全工作的关注。经认真研究办理，现将办理情况答复如下：

一、基本情况及进展

市卫生健康委深入贯彻习近平总书记关于网络安全工作的重要指示精神，大力夯实网络安全基础建设，严格落实网络安全制度，在提升网络安全理念，有效防范化解网络信息安全等方面取得了有效进展：

（一）网络安全责任落实情况

我委自2019年机构改革后，成立以党委书记黄明会为组长的“市卫生健康委网络安全和信息化工作领导小组”，明确黄明会同志为市卫生健康委网络安全第一责任人，领导小组办公室设在委信息统计处，负责处理网络安全日常工作，市卫生健康统计信息中心为技术支撑单位，配合做好具体工作。

（二）完善行业网络与信息安全管理制度情况

近年来，我委对照相关法律法规及条例，对网络与信息安全管理制度进行详细梳理，查漏补缺，逐步建立和完善相关管理制度。印发《重庆市卫生健康系统网络与信息安全通报规范》《重庆市卫生健康行业网络安全应急预案》《关于落实重庆市卫生健康行业网络信息与数据安全责任的通知》和《重庆市卫生健康行业健康医疗数据资源管理办法》，明确行业网络安全职责及分工，规范了行业网络安全工作机制。会同市公安局联合印发《重庆市卫生健康行业网络安全等级保护能力提升工作实施方案》，进一步加强了行业信息系统网络安全等级保护工作；牵头制定《重庆市新冠肺炎疫情防控健康码管理与服务暂行办法》，确保涉疫数据安全。

（三）日常管理工作开展情况

一是每年至少组织一次行业网络安全培训，提升网络安全意识、提高从业人员能力。定期进行安全测评、漏洞扫描等工作，对安全隐患做到早发现早整改，强化安全防护。二是联合市公安局、市委网信办每年开展一次卫生健康行业网络安全专项检查工作，对各单位组织领导、日常运维及应急管理、数据库容灾备份、业务系统定级备案等工作进行重点督查，不断提升行业内系统网络应急处置和抗风险能力。三是做好数据安全和个人信息保护工作，下发《关于进一步加强涉疫数据安全和个人信息保护工作》，要求各单位加强涉疫信息系统建设、管理和运维，按照“最小够用”的原则采集、共享数据；按照《重庆市新冠肺炎疫情防控健康码管理与服务暂行办法》，坚持按照“谁主管谁负责、谁批准谁负责”的原则，加强个人隐私保护，为疫情防控、疾病防治收集的个人信息，不得用于其他用途，坚决防止数据泄露。四是在国庆、建党100周年、春节等重要时期，实行7*24小时值班制度、网络与信息安全“零报告”制度和网络安全事件逐级上报制度，确保卫生健康业务系统安全稳定运行。截至目前，我行业没发生重大网络安全事故。

二、建议应答

（一）在出台相关法规政策，加强顶层设计方面。我委目前已建设完成重庆市卫生健康数据交换与共享系统，在此基础上印发《关于全市卫生健康数据交换与共享系统上线试运行的通知》，明确行业数据安全职责分工，强化数据资源管理，规范数据生命周期内安全工作管理机制。下一步我委将出台卫生健康行业数据分级分类管理标准，通过对数据敏感性和应用场景等进行分级分类管理，通过统一的行业标准，规范卫生健康数据的使用范围和场景，保障我市智慧医疗产业信息安全。

（二）在运用技术手段加强智慧医疗网络安全管理方面。

我委将继续深化“卫生健康云”服务体系建设，完善卫生健康云平台，开展卫生专网与电子政务外网整合。强化行业内外数据资源共享交换能力，建成医疗、监督、公卫、疾控、妇幼等主题资源库。逐步推动全市各级各类医疗卫生机构按照“卫生健康云”管理要求上云用云，实现卫生健康数据通过卫生专网传输、标准汇聚、融合应用和安全共享，集中提升行业安全风险防御能力，强化网络及数据安全技术保障。一是按照三级等保要求为卫生健康云配备网络安全设备，将电子政务外网和互联网逻辑隔离，并部署各类安全产品。同时会同云平台服务提供商，对云网进行安全加固，配置实施攻击防护、安全监测、WEB防护、僵尸网络等安全威胁类型的安全防护，提升对高中危行为的封锁阻拦。二是除系统本身外，操作系统、网络安全设备、数据库均做好3个月以上日志的留存和数据备份，供事后追踪问题原因和恢复。同时对业务、存储和网络实现冗余部署，避免单点故障。三是网络安全策略启用最高等级，仅开放有限权限供数据交换和共享。定期对系统、操作系统和数据库进行漏洞扫描，并实时整改，防止黑客利用漏洞侵入。

（三）在智慧医疗相关信息网络安全制度落实方面。我委将持续加强管理，严格落实信息安全相关制度要求。一是强化习近平总书记网络强国思想和《网络安全法》等文件精神的解读解析力度，深化安全培训，充分认识当前安全形势，切实增强行业从业人员的安全意识和网络安全技术水平。二是定期开展行业网络安全检查，狠抓隐患排查整改。对各单位组织领导、落实信息安全工作责任制情况、日常运维及应急管理、数据库容灾备份、业务系统定级备案等工作进行重点督查，消除安全隐患，修补漏洞，强化安全防护。三是持续按照等级保护的措施和要求做好日常保障。定期做好风险排查和整改加固工作，从网络安全、边界安全、供应链保障等方面构建一体的安全策略，增强风险抵御能力。建立网络安全快速反应机制，会同网信、公安等部门建立健全常态化网络安全事件应急处置机制。

重庆市卫生健康委员会

2022年3月21日